CVE-2025-27696

چکیده

آسیب‌پذیری کنترل نادرست مجوزها در پلتفرم Apache Superset به کاربران احراز هویت شده با دسترسی فقط خواندن (read permissions) اجازه می‌دهد مالکیت داشبورد‌ها، چارت‌ها یا مجموعه داده ها (datasets) را به دست آورند.

توضیحات

آسیب‌پذیری CVE-2025-27696 در Apache Superset (ابزار متن‌باز برای تحلیل،کشف و تجسم داده‌ها) ناشی از کنترل نادرست مجوزها مطابق باCWE-863 است. این ضعف به کاربران احراز هویت شده با سطح دسترسی فقط خواندن (read-only permissions) اجازه می‌دهد بدون داشتن مجوزهای ویرایش یا مالکیت، مالکیت منابعی مانند داشبورد‌ها (صفحات تجسمی داده‌ها)، چارت‌ها (نمودارهای داده‌ای) یا مجموعه داده ها (datasets) را به صورت غیر مجاز تصاحب کنند.

بهره برداری از این ضعف به‌سادگی قابل خودکارسازی است؛ مهاجم می‌تواند با ابزارهای خودکار مانند اسکریپت‌های پایتون (با استفاده از API Superset) یا افزونه‌های مرورگر مانند Postman، به‌صورت از راه دور، بدون تعامل کاربر و تنها با داشتن یک حساب کاربری معتبر با مجوز خواندن، درخواست‌هایی برای تغییر مالکیت (ownership transfer) ارسال کند و منابع را به حساب خود منتقل نماید.

پیامد اصلی این آسیب‌پذیری تأثیر مستقیم بر یکپارچگی با تغییر غیرمجاز منابع است. این ضعف در تمام نسخه‌های Apache Superset از 0 تا 4.1.1 وجود دارد و با انتشار نسخه 4.1.2 یا بالاتر پچ شده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Apache Superset را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت متوسط در Apache Superset، ریسک تصاحب غیرمجاز منابع را افزایش می‌دهد و می‌تواند منجر به نقض کنترل دسترسی شود. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: تمام نصب‌های Apache Superset را به نسخه 4.1.2 یا بالاتر به روزرسانی کنید تا کنترل‌های مجوز اصلاح شده اعمال شوند.
• اعمال کنترل‌های دسترسی دقیق: از مدل‌های کنترل دسترسی مبتنی بر نقش(RBAC) استفاده کرده و مجوزهای فقط خواندن (read-only) را با محدودیت‌های اضافی (مانند عدم امکان تغییر مالکیت) تقویت نمایید؛ همچنین، سیاست‌های پیش‌فرض را بازبینی شود.
• نظارت بر تغییرات: لاگ‌های API و رابط کاربری را با ابزارهایی مانند ELK Stack یا Splunk نظارت کنید و هشدار برای تغییرات غیرعادی مالکیت (مانند انتقال منابع توسط کاربران read-only) تنظیم نمایید.
• ایزوله‌سازی منابع: داشبورد‌ها، چارت‌ها یا مجموعه داده های حساس را در فضاهای جداگانه (spaces یا workspaces) قرار دهید و برای احراز هویت دو مرحله‌ای (2FA) از احراز هویت یکپارچه با LDAP یا OAuth بهره ببرید.
• استفاده از فایروال اپلیکیشن وب (WAF): از WAFهایی مانند ModSecurity یا AWS WAF برای فیلتر کردن درخواست‌های مشکوک به اندپوینت های مالکیت استفاده کنید و نرخ درخواست‌ها را محدود نمایید.
• تست نفوذ دوره‌ای: سناریوهای تصاحب مالکیت را با ابزارهایی مانند OWASP ZAP یا Burp Suite در محیط staging شبیه‌سازی کنید و دسترسی‌های خواندن را ارزیابی نمایید؛ همچنین، کدهای سفارشی Superset را برای کنترل‌های اضافی مجوز بازبینی کنید.
• مدیریت پیکربندی: از اصل حداقل دسترسی (Least Privilege) پیروی کنید و حساب‌های تست را از محیط تولید جدا نگه دارید تا تأثیر حملات محدود شود.
• آموزش توسعه‌دهندگان و مدیران: تیم‌ها را نسبت به ریسک‌های مجوزدهی نادرست در ابزارهای BI (Business Intelligence) آموزش دهید و سیاست‌های امنیتی Superset را اجباری سازید. سیاست‌های امنیتی Superset مجموعه قواعدی هستند که مشخص می‌کنند هر کاربر چه منابعی dashboards, charts, datasets را می‌تواند ببیند، ویرایش کند یا مالکیت آن را تغییر دهد. علاوه بر این کنترل‌های احراز هویت، MFA، لاگینگ، و محدودیت دسترسی برای محافظت از یکپارچگی و امنیت داده‌ها را نیز شامل می شود.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و تقویت RBAC، ریسک تبدیل این ضعف متوسط به نقض گسترده امنیت را به‌طور قابل توجهی کاهش می‌دهد و سطح امنیت منابع داده‌ای در Apache Superset را بهبود می بخشد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
مهاجم معمولاً با یک حساب معتبر با سطح read-only یا از طریق ثبت‌نام/حساب‌های ضعیف‌شده وارد سیستم می‌شود؛ این دسترسی پایه برای فراخوانی API های مالکیت کافی است چرا که کنترل‌های سروری جهت جلوگیری از owner-change ناقص است.

Privilege Escalation (TA0004)
ضعف در authorization منجر به این می‌شود که کاربری با مجوز read-only بتواند مالکیت را به خود منتقل کند و عملاً سطح دسترسی خود را افزایش دهد؛ این یک شکل از ارتقای امتیاز منطقی در سطح اپلیکیشن است.

Discovery (TA0007)
مهاجم نیاز دارد اندپوینت‌های API ، مسیرهای owner-change و قابلیت‌های role-based را شناسایی کند؛ اطلاعات فهرست‌بندی، اسناد API یا خطاهای verbose می‌توانند فضا را برای کشف بیشتر فراهم کنند.

Defense Evasion (TA0005)
بهره‌بردار ممکن است با تغییر مالکیت و سپس پاک‌سازی لاگ‌ها یا استفاده از حساب‌های proxy سعی کند ردپاها را پنهان کند؛ اگر لاگ‌ها قابل تغییر باشند، تشخیص سخت می‌شود.

Lateral Movement (TA0008)
پس از تصاحب مالکیت منابع حساسی، مهاجم می‌تواند از آن‌ها برای دسترسی به دیتا یا pivot به کارکردهای تحلیلی /SQL Lab یا export استفاده کند و به بخش‌های دیگر محیط دسترسی پیدا کند.

Collection (TA0009)
با مالکیت منابع، مهاجم قادر به خواندن یا استخراج داده‌ها، ذخیره اسنپ‌شات‌ها یا ایجاد گزارش‌های سفارشی است که داده‌های حساس را جمع‌آوری می‌کند.

Exfiltration (TA0010)
پس از جمع‌آوری، مهاجم می‌تواند داده‌ها را از طریق API exports، گزارش ایمیل‌شده یا اتصالات خارجی خارج کند.

Impact (TA0040)
پیامد اصلی این آسیب‌پذیری نقض یکپارچگی و کنترل دسترسی است؛ مهاجم می‌تواند مالکیت داشبوردها و مجموعه‌داده‌ها را تغییر داده، داده‌ها را استخراج یا تغییر دهد و اعتماد سازمان به گزارش‌ها و داشبوردها را تخریب کند که ممکن است منجر به تصمیم‌گیری‌های اشتباه یا نقض قوانین حریم خصوصی شود.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-27696
2. https://www.cvedetails.com/cve/CVE-2025-27696/
3. https://lists.apache.org/thread/k2od03bxnxs6vcp80sr03ywcxl194413
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-27696
5. https://vuldb.com/?id.308377
6. http://www.openwall.com/lists/oss-security/2025/05/12/3
7. https://nvd.nist.gov/vuln/detail/CVE-2025-27696
8. https://cwe.mitre.org/data/definitions/863.html